Neuer (teurer) Personalausweis ab 01.11.2010 / 01.08.2021

Dass der PIN nicht mehr online oder per Brief resettet werden kann, hängt wohl damit zusammen, dass "böse Menschen" zu einfach an ID-Daten rankommen und damit Unsinn anstellen könnten. Das ist kein Schikane sondern leider notwendig. Auf dem Land geht das relativ problemlos, in Großstädten (z.B. Berlin) ist das sicher ein ziemlicher Act

Bei der digital agnostischen Bevölkerungsmehrheit (AKA DAUs) wird das für Frust sorgen, es fehlt einfach das Bewusstsein sich konzentriert mit diesen Dingen und Funktionen auseinander zusetzen und zu verstehen, was Datensicherheit bedeutet. Und es soll eine PIN sein, die man nicht aus Telefonnummer, Geburtsdatum oder ähnlich leicht erratbaren Zahlen zusammensetzen kann.

Ich hatte meinen PIN auch vergessen, war dann bei der örtlichen Gemeindeverwaltung (vor Corona). Die Damen hat sich den Personalausweis angeschaut, hat eine nur ihre bekannte Super-Geheimzahl ihr Gerät eingegeben und ich meine neue PIN an einem extra Terminal. Das hat dann 10 Euro gekostet. Die konnten bar oder mit Girocard (AKA "EC") bezahlt werden.

Zitat von hrgajek

Dass der PIN nicht mehr online oder per Brief resettet werden kann, hängt wohl damit zusammen, dass "böse Menschen" zu einfach an ID-Daten rankommen und damit Unsinn anstellen könnten. Das ist kein Schikane sondern leider notwendig.

Eine Verständnisfrage, mit Online Resetten ist doch die Entsperrung der per PUK gemeint, richtig? (Kann mir da nichts anderes vorstellen, was ansonsten gemeint sein könnte.)

Dabei fällt mir auf, dass es entweder doch noch geht (was aber auch Obigem widersprechen würde), oder die Infos hier veraltet sind:

Zitat von https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/online-ausweisen/pin-brief/pin-brief-node.html#doc14626366bodyText3

Ihre Nummer zur Aufhebung der PIN-Blockade (PUK)

Ihre Nummer zur Aufhebung der PIN-Blockade (PUK) benötigen Sie, wenn Sie Ihre PIN-Nummer dreimal falsch eingegeben haben.

Sie können die PUK maximal zehn Mal verwenden. Danach muss eine neue PIN gesetzt werden. Das können Sie kostenlos in einer Pass- oder Ausweisbehörde erledigen.

Andere Frage, wie kommen denn "böse Menschen" an "ID-Daten" ran? Das riecht verdächtig nach Sicherheitslücke!

Kann die Online Ausweisfunktion etwa genutzt werden, ohne das der Ausweis in physischer Form vorliegt?

Kann zu einem gesperrten, weil verlustig gegangenem Ausweis die PIN zurückgesetzt werden, und er so durch unbefugte wieder in Funktion gesetzt werden?

Würde beides die Möglichkeit eröffnen, das Unbefugte nach Abfangen des PIN-Briefes die Online Ausweisfunktion für sich freischalten könnten. Und man nichts anderes dagegen unternehmen könnte, als die PIN Rücksetzung in bisheriger Form auszusetzen, wenn man die Online Ausweisfunktion nicht gleich komplett abschalten möchte.

Zitat von hrgajek

Bei der digital agnostischen Bevölkerungsmehrheit (AKA DAUs) wird das für Frust sorgen, es fehlt einfach das Bewusstsein sich konzentriert mit diesen Dingen und Funktionen auseinander zusetzen und zu verstehen, was Datensicherheit bedeutet.

ich weiss, was Datensicherheit bedeutet, und bei mir sind gerade alle Warnlampen auf ROT gegangen.

Naja, wer den PIN-Brief auf Seite legt und verschlampt, weil "brauch ich ja eh nicht"... verliert auch den PUK. Wer seine PIN gesetzt hat, achtet vielleicht auch nicht mehr auf den Brief.

Zitat von tobmobile

Andere Frage, wie kommen denn "böse Menschen" an "ID-Daten" ran? Das riecht verdächtig nach Sicherheitslücke!

Kann die Online Ausweisfunktion etwa genutzt werden, ohne das der Ausweis in physischer Form vorliegt?

Sie kann mittels betrügerisch modifizierter App so genutzt werden, dass neben der vom User beabsichtigten Legitimation noch heimlich parallel eine andere Legitimation durchgeführt wird, im Namen und im angeblichen Auftrag des Users....

Danke für den Link. Das es keinen Mechanismus gibt zur Validierung der Endpunkte zwischen dem eID-Server und dem eID-Client des Benutzers, ist in der Tat unschön. Die Hintergründe dieser Designentscheidung würden mich schon interessieren.

Der Rest ist halt analog zu den üblichen Sicherheitsrisiken (bspw. Smartphone-Banking), wenn alles auf dem gleichen Endgerät abläuft.

Zitat von Mozart40

Der Rest ist halt analog zu den üblichen Sicherheitsrisiken (bspw. Smartphone-Banking), wenn alles auf dem gleichen Endgerät abläuft.

Kann der geschilderte Betrug nicht auch auf selbst für den User unterschiedlichen Endgeräten ablaufen? Also z.B. ich beantrage die Aktualisierung des Führerscheins auf dem PC und nutze zur Legitimation die gefälschte App auf dem Smartphone, die ich mir vorher eingefangen habe.

Zitat von rmol

Kann der geschilderte Betrug nicht auch auf selbst für den User unterschiedlichen Endgeräten ablaufen? Also z.B. ich beantrage die Aktualisierung des Führerscheins auf dem PC und nutze zur Legitimation die gefälschte App auf dem Smartphone, die ich mir vorher eingefangen habe.

Guter Einwand. Dann bräuchte der Angreifer aber doch Zugriff auf PC und Smartphone, oder? Den PC zum antiggern und irgendwie müsste er das Opfer dazu bekommen, eine kompromittierte neue/andere App auf dem Smartphone zu installieren.

Zitat von Mozart40

Guter Einwand. Dann bräuchte der Angreifer aber doch Zugriff auf PC und Smartphone, oder? Den PC zum antiggern und irgendwie müsste er das Opfer dazu bekommen, eine kompromittierte neue/andere App auf dem Smartphone zu installieren.

Ich dachte, Zugriff auf Smartphone reicht - aber womöglich liege ich damit falsch.

Der User könnte im Vorfeld dazu gebracht werden - z.B. durch viel aufwändigere Bewerbung, als es die Führerscheinstelle selbst tut - sich die gefälschte Ausweis-App herunterzuladen.

Dann startet er den Führerschein-Umtausch auf der offiziellen Seite der Führerscheinstelle und nutzt zur Legitimation die veränderte App auf dem Smartphone.

Zitat von hrgajek

Bei der digital agnostischen Bevölkerungsmehrheit (AKA DAUs) wird das für Frust sorgen, es fehlt einfach das Bewusstsein sich konzentriert mit diesen Dingen und Funktionen auseinander zusetzen und zu verstehen, was Datensicherheit bedeutet. Und es soll eine PIN sein, die man nicht aus Telefonnummer, Geburtsdatum oder ähnlich leicht erratbaren Zahlen zusammensetzen kann.

Und dann gibt es auch noch Leute wie mich, die sich nie ernsthaft mit den Onlinefunktionen des Perso auseinandergesetzt haben. Beim Vorletzten (2008) habe ich den Kram bei der Beantragung noch abgewählt, beim letzten (2018) hatte man diese Option bereits nicht mehr. Da wurde einem der Kram an die Backe genäht, ob man wollte oder nicht. Genau das (mir etwas aufzwingen wollen) hasse ich wie die Pest. Wer mir so kommt hat gleich verloren. Den Brief mit der PIN habe ich daher weg gelegt oder entsorgt, ich weiß es ehrlich gesagt nicht mehr. Zur Klarstellung: Ich habe einen Perso weil ich den von Gesetzeswegen her brauche, und auf verlangen z.B. durch die Polizei vorzeigen können muss. Das war's. Mehr interessiert mich nicht.

ja, aber auch um sich auszuweisen z.B. Deutschlandticket, Fliegen, Post-Ident....

Übrigens, immer und ewig querzutreiben scheint dir großen Spaß zu machen. Aber das ist ein Trugschluss wenn du meist damit besonders schlau bei anderen anzukommen. Das Gegenteil ist der Fall.